信息安全管理精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全管理主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息安全管理范文
關鍵詞:信息安全;管理體系;ISMS
中圖分類號:TP315 文獻標識碼:A 文章編號:1009-8631(2010)05-0171-02
一、概述
當前,信息資源的開發(fā)和利用,已成為信息化建設的核心。信息作為一種重要的資產(chǎn),已成為大家的共識。其一旦損毀、丟失、或被不失當?shù)仄毓狻o組織帶來一系列損失。這些損失是我們不愿意面對的。因此信息安全越來越成為大家關注的熱點問題。前國家科技部部長徐冠華曾經(jīng)指出:“沒有信息安全保障的信息工程一定是豆腐渣工程”。
所謂信息安全,是針對技術(shù)和管理來說的,為信息處理體統(tǒng)提供安全保護,保護計算機軟硬件及信息內(nèi)容不因偶然意外和惡意的原因而遭到破壞、更改和泄漏。信息安全包括實體安全、運行安全、信息(針對信息內(nèi)容)安全和管理安全四個方面:
1)實體安全是指保護計算機設備、網(wǎng)絡設施以及其他通信與存儲介質(zhì)免遭地震、水災、火災、有害氣體和其他環(huán)境事故破壞的措施、過程。
2)運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)。提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急措施)來保護信息處理過程的安全。
3)信息安全是指防止信息資源的非授權(quán)泄漏、更改、破壞,或使信息被非法系統(tǒng)辨別、控制和否認。即確保信息的完整性、機密性、可用性和可控性。
4)管理安全是指通過信息安全相關的法律法令和規(guī)章制度以及安全管理手段,確保系統(tǒng)安全生存和運營。
信息安全是一個多層面、多因素、綜合和動態(tài)的過程。安全措施必須滲透到所有的環(huán)節(jié)。才能獲得全面的保護。為了防范和減少風險,一般的信息系統(tǒng)都部署了基本的防御和檢測體系,如防火墻、防病毒軟件、入侵檢測系統(tǒng)、漏洞掃描設備等等。這些安全技術(shù)和安全設備及軟件的應用,在很大程度上提高了信息系統(tǒng)的安全性。但是這樣做不能從根本上降低安全風險。解決安全問題。因為不能把信息安全問題僅僅當做是技術(shù)問題,日常所說的防范黑客入侵和病毒感染只能是信息安全問題的一個方面。一方面由于所有安全產(chǎn)品的功能都是針對某一類問題,并不能應用到所有問題上,所以說它們的功能相對比較狹窄,因此想通過設置安全產(chǎn)品來徹底解決信息安全問題是不可能的;另一方面,信息安全問題并不是固定的、靜態(tài)的,它會隨著信息系統(tǒng)和操作流程的改變而變化。而設置安全產(chǎn)品則是一種靜態(tài)的解決辦法。一般情況下,當產(chǎn)品安裝和配置一段時期后,舊的問題解決了。新的安全問題就會產(chǎn)生,安全產(chǎn)品無法進行動態(tài)調(diào)整來適應安全問題的變化。有效解決上述問題的關鍵是搭建一個信息安全體系。建設體系化管理手段,通過安全產(chǎn)品的輔助,從而保障信息系統(tǒng)的安全。
二、搭建信息安全管理體系
(一)BS7799
信息安全管理體系是安全管理和安全控制的有效結(jié)合體,通過分析信息安全各個環(huán)節(jié)的實際需求情況和風險情況,建立科學合理的安全控制措施,并且同信息系統(tǒng)審計相結(jié)合,從而保證信息資產(chǎn)的安全性、完整性和可用性。國際上制定的信息安全管理標準主要有:英國標準協(xié)會制定的信息安全管理體系標準-BS7799;國際信息系統(tǒng)審計與控制協(xié)會制定的信息和相關技術(shù)控制目標-COBIT;是目前國際上通用的信息系統(tǒng)審計標準;英國政府的中央計算機和通信機構(gòu)提出的一套IT服務管理標準-ITIL;國際標準化組織(IS01和國際電工委員會(IEC)所制定信息安全管理標準-IS0/IECl335。其中BS7799英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個標準,于1995年2月制定的、世界上第一個信息安全管理體系標準。經(jīng)過不斷的修訂,目前已經(jīng)成為信息安全管理領域的權(quán)威標準。其兩個組成部分目前已分別成為IS017799和IS027001標準。BST799涵蓋了安全所應涉及的方方面面,全面而不失操作性,提供了一個可持續(xù)發(fā)展提高的信息安全管理環(huán)境。在該標準中,信息安全已經(jīng)不只是人們傳統(tǒng)上所講的安全,而是成為一種系統(tǒng)化和全局化的觀念。和以往的安全體系相比,該標準提出的信息安全管理體系(SMS)具有系統(tǒng)化、程序化和文檔化的管理特點。
(二)息安全管理體系(ISMs)
信息安全管理體系(LSMS)是組織整體管理體系的一個重要組成部分,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標,以及完成這些目標所用方法的體系。基于對業(yè)務風險的分析和認識,ISMS包括建立、實施、操作、監(jiān)視、復查、維護和改進信息安全等一系列的管理活動。IS027001是建立和維護信息安全管理體系的準繩,它一般是要求通過確定的過程來建立ISMS框架:確定體系范圍,制定信息安全策略,明確管理職責,通過風險評估確定控制目標和控制方式。整個體系一旦建立起來,組織就必須實施、維護和不斷改進ISMS,保持整個體系運作的有效性。
(三)ISMS搭建步驟
當一個組織建立和管理信息安全體系時。BS7799提供了指導性的建議,即遵循PDCA(Plan,Check和Act)的持續(xù)改進的管理模式。PDCA循環(huán)實際上是有效進行任何一項工作的合乎邏輯的工作程序。對于搭建和管理信息安全體系,其PDCA過程如下:
1)信息安全體系(PLAN)
在PLAN階段通過風險評估來了解安全需求,根據(jù)需求設計解決方案。根據(jù)BS7799-2。搭建ISMS一般有如下步驟:
A、定義安全方針:信息安全方針是組織的信息安全委員會制定的高層文件,用于指導組織如何對資產(chǎn),包括敏感信息進行管理、保護和分配的規(guī)則和指示。
B、定義1SMS的范圍:ISMS的范圍是需要重點進行信息安全管理的領域,組織可根據(jù)自己的實際情況。在整個組織范圍內(nèi)、或者在個別部門或領域架構(gòu)ISMS。
C、實施風險評估:首先對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定或估計,然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估,同時對已存在的或規(guī)劃的安全控制措施進行鑒定。
D、風險管理:根據(jù)風險評估與現(xiàn)狀調(diào)查的結(jié)果。確定安全需求,決定如何對信息資產(chǎn)實施保護及保護到何種程度限(如接受風險、避免風險、轉(zhuǎn)移風險或降低風險)。
E、選擇控制目標和控制措施:根據(jù)風險評估和風險管理的結(jié)果,選擇合適的控制目標和控制措施來滿足特定的安全需求。可以從BS7799-1的中進行選擇,也可以應選擇一些其它適宜的控制方式。
F、準備適用性申明(SOA):SOA是適合組織需要的控制目標和控制的評論,記錄組織內(nèi)相關的風險控制目標和針對每種風險所采取的各種控制措施。
2)實施信息安全體系(D01
在DO階段將解決方案付諸實現(xiàn),實施組織所選擇的控制目標與控制措施。
3)檢查信息安全體系(cHECK)
在CH ECK階段進行有關方針、程序、標準與法律法規(guī)的符合性檢查,對存在的問題采取措施,予以改進,以保證控制措施的有效運行。在此過程中,要根據(jù)風險評估的對象及范圍的變化情況。以及時調(diào)整或完善控制措施。常見的檢查措施有:日常檢查、從其他處學習、內(nèi)部ISMS審核、管理評審、趨勢分析等。
4)改進信息安全體系(ACT)
在ACT階段對ISMS進行評價。以檢查階段發(fā)現(xiàn)的問題為基礎,尋求改進的機會,采取相應的措施進行調(diào)整與改進。
第2篇:信息安全管理范文
關鍵詞:網(wǎng)絡;會計;安全;管理
會計信息的安全是指會計信息具有完整性、可用性、保密性和可靠性的狀態(tài),它來自于會計數(shù)據(jù)的完整和會計數(shù)據(jù)的安全,并保證會計信息的持續(xù)性和有效性。隨著網(wǎng)絡的發(fā)展,信息技術(shù)越來越多的滲透到會計領域,但傳統(tǒng)會計軟件的設計多是考慮從業(yè)務操作功能上滿足會計實務的要求,對其安全性的考慮較少。會計信息化的輔助軟件雖然具備了強大的信息安全技術(shù),但是又易使人陷入技術(shù)決定一切的誤區(qū)。迄今為止,網(wǎng)絡環(huán)境下的多種安全技術(shù)尚未能夠確保信息的安全性。企業(yè)只有從技術(shù)和管理兩方面構(gòu)建會計信息安全系統(tǒng),充分考慮技術(shù)的持續(xù)有效性,重視對安全工程建成后的管理,才能最大限度地保障網(wǎng)絡環(huán)境下會計信息的安全性。國際信息安全管理標準(ISO/IEC 17799:2005)對于信息系統(tǒng)安全管理和安全認證的分析表明,解決信息系統(tǒng)的安全問題不能只局限于技術(shù)。更重要的還在于管理。因此,要讓安全技術(shù)發(fā)揮應有的作用,必然要有適當管理措施的支持。按照該標準(ISO/IEC 17799:2005)“制訂自己的準則”的建議,探討管理對于會計信息安全的重要作用,兼重管理和技術(shù)。對于真正實現(xiàn)會計信息安全目標具有重要意義。
一、目前會計信息安全的現(xiàn)狀及研究
目前會計實務中的信息安全面臨諸多問題。如會計管理越權(quán)、不相容崗位分工不清會導致會計信息的損壞:在網(wǎng)絡環(huán)境下,伴隨電子商務的發(fā)展而出現(xiàn)的會計數(shù)據(jù)載體無紙化使會計數(shù)據(jù)被篡改成為可能:網(wǎng)絡本身的安全性問題,則可能會使會計數(shù)據(jù)在傳輸過程中受病毒、黑客的威脅等。目前國內(nèi)被大量使用的傳統(tǒng)會計軟件主要是代替手工會計核算和減輕會計人員的計賬工作量,本身的安全性設計相對較差,當其在網(wǎng)絡環(huán)境下使用時,上述的某些問題就更加顯著。據(jù)一份針對英國900家不同類型組織做的問卷調(diào)查,1999―2000年有超過一半的政府機構(gòu)及2/3的民營組織,正面臨信息科技的不法入侵、濫用甚至破壞。而對大部分組織而言,信息安全的問題尚無一個明確的解決方案。許多文獻針對會計信息安全問題進行了研究,但大多集中在技術(shù)方面。如電子數(shù)據(jù)的存儲加密技術(shù)、傳輸加密技術(shù)、密鑰管理加密技術(shù)和確認加密技術(shù)、數(shù)字簽名等。也有很多文獻從不同的角度對會計信息安全的管理保障進行了有益的探討。本文從內(nèi)部控制,計算機軟、硬件管理的角度,參考ISO/IEC 17799:2005推薦的部分控制措施,探討了針對會計實務的信息安全管理控制方法,結(jié)合對信息安全技術(shù)應用的分析,闡述了會計信息安全管理系統(tǒng)的構(gòu)建過程中需注意的幾個薄弱環(huán)節(jié)。
二、會計信息安全管理
(一)內(nèi)部控制
2002年美國FBI(聯(lián)邦調(diào)查局)和CSI通過對484家公司的調(diào)查,安全威脅和安全事件研究統(tǒng)計表明:超過85%的安全威脅來自企業(yè)內(nèi)部。本文先從企業(yè)內(nèi)部分析網(wǎng)絡環(huán)境下會計安全問題。
1、確保不相容崗位相分離。防止越權(quán)。管理越權(quán)、分工不清這些問題在傳統(tǒng)會計模式下也會出現(xiàn),但應用信息技術(shù)后,信息載體的無紙化等特點使此類問題更易出現(xiàn)且較隱蔽,多數(shù)文獻指出,實行用戶分級授權(quán)管理,建立崗位責任制,并賦予不同的操作權(quán)限,拒絕其他非授權(quán)用戶的訪問。對操作密碼要嚴格管理,指定專人定期更換密碼。在會計實務中可以推廣應用生物識別技術(shù),其具有更多優(yōu)點,比如會計與出納有不同的權(quán)限,擁有各自的密碼,因為會計與出納工作往來頻繁,密碼被對方獲取的情況時有發(fā)生,影響了會計信息的安全性。而生物識別技術(shù)如指紋只能本人在場的情況下方可操作,并且不存在遺忘或丟失的問題。
2、保障原始數(shù)據(jù)安全性。信息來源復雜性、接觸信息的部門和人員多樣性,增加內(nèi)部控制難度,使原始數(shù)據(jù)錯誤、信息篡改的風險加大。例如,原始憑證是進行會計核算的原始資料,是證明經(jīng)濟業(yè)務發(fā)生的唯一初始文件,有較強的法律效力。在網(wǎng)絡環(huán)境下,有些原始憑證是通過網(wǎng)上交易取得。如電子單據(jù)、電子貨幣結(jié)算等網(wǎng)絡經(jīng)營業(yè)務。為使其與紙質(zhì)原始憑證在安全性上達到同樣的功效,多數(shù)文獻提出的建議是利用網(wǎng)上公證技術(shù)及各種加密技術(shù)。但以磁(光)性介質(zhì)為載體的憑證易被篡改或偽造而不留任何痕跡的問題是計算機及網(wǎng)絡本身的缺陷,即使是采用了網(wǎng)上公證技術(shù),其法律效力仍無法與印鑒相比,因此其安全性并不能超過紙質(zhì)原始憑證,作為會計核算唯一憑據(jù)的原始憑證,其地位至關重要,所以網(wǎng)上交易完成后必須索要紙質(zhì)原始憑證,以備核對、保留,盡可能確保會計信息完整性、可用性。
3、保障會計檔案安全性。會計檔案是唯一保存完整的會計歷史資料,是核實已發(fā)生會計活動最重要的依據(jù),信息技術(shù)應用于會計后,部分會計檔案是以磁性介質(zhì)存儲的。若保管、備份策略和方法不合理,會形成會計安全隱患。例如,電子檔案存儲介質(zhì)體積小、無紙化等特點與傳統(tǒng)檔案相比更易于被竊取或泄漏,所以管理人員必須持有上崗證。并且要經(jīng)常進行檔案法、保密法培訓。在收集過程中要注意相關設備或軟件的收集,使會計電子檔案在將來任何時間都可查閱使用。企業(yè)備份電子檔案的同時。應對已存檔的電子檔案定期檢查、復制。電子檔案的定期復制的時間應根據(jù)存儲介質(zhì)的性質(zhì)而定,在不浪費成本同時保障會計檔案安全。
2008年6月,財政部公布的《企業(yè)內(nèi)部控制基本規(guī)范》第4章明確指出:“內(nèi)部會計控制的方法主要包括:不相容職務相互分離控制、授權(quán)批準控制、會計系統(tǒng)控制、預算控制……”有文獻提出,將這些有效的內(nèi)部控制方法、思想集成在軟件功能中。單純地依靠企業(yè)制定的內(nèi)部控制制度來加以內(nèi)部控制,當內(nèi)部人員協(xié)同舞弊時,會導致內(nèi)部控制制度的失效。將內(nèi)部控制集成在會計軟件中可以確保會計信息正確、安全。但將這些有效的內(nèi)部控制方法、思想集成在軟件功能中需要高素質(zhì)會計人員及熟悉信息技術(shù)的人員參與,并且需要投入相當數(shù)量的資金。維護容易跟不上,因此現(xiàn)階段對多數(shù)企業(yè)來說有一定困難,但資金、人員基礎好的企業(yè)可以實施;并且要把基于PDCA(Plan,Do、Check和Act)的持續(xù)改進的管理模式應用其中。
(二)計算機硬件管理
PC客戶端。數(shù)據(jù)存儲設備,網(wǎng)絡設備都會影響硬件系統(tǒng)安全。所以應制定主控機房和相應網(wǎng)絡設備的管理制度,例如專
機專用。計算機機房充分滿足防火、防潮、防塵、防磁和防輻射及恒溫等技術(shù)要求,關鍵性的硬件設備可采用雙機備份,硬件系統(tǒng)安全預警方案。同時采取相應的激勵措施,把相應人員職責列入目標考核,與獎金相對應,提高其履行制度的積極性,確保計算機硬件安全。
(三)計算機軟件管理
設計、開發(fā)的財務軟件系統(tǒng)功能與用戶實際操作不相適應,軟件存在漏洞。軟件售后服務不及時都會影響網(wǎng)絡環(huán)境下會計安全。因此,在設計、開發(fā)和使用財務軟件時,應重點考慮會計數(shù)據(jù)及會計軟件系統(tǒng)自身的安全問題,采取的措施能有效確保系統(tǒng)安全運行。保障會計軟件安全的具體措施有:
1、身份認證與權(quán)限控制。堅持多重登錄和多重密碼制。只有被賦予一定權(quán)限的人員、且密碼核對吻合時才能進行相關業(yè)務操作,最好采用生物技術(shù)。 2、軟件升級必須慎重,與原系統(tǒng)有可兼容性,便于查閱往年會計電子檔案。
3、定期備份計算機工作日志文件。
4、選擇售后服務好、財政部推薦的會計軟件企業(yè)的產(chǎn)品。
(四)人為因素的管理
現(xiàn)階段。多數(shù)企業(yè)的會計人員業(yè)務經(jīng)驗豐富。而計算機專業(yè)知識和網(wǎng)絡知識卻知之甚少,不能很好地勝任計算機和互聯(lián)網(wǎng)相關會計業(yè)務處理工作。復合型高素質(zhì)人才的缺乏制約著信息技術(shù)在會計中的應用,部分網(wǎng)絡會計人員雖然具備較高業(yè)務水平,但缺乏職業(yè)道德素質(zhì)。他們憑借精通網(wǎng)絡會計的優(yōu)勢進行非法轉(zhuǎn)移電子資金和會計數(shù)據(jù)、泄密等活動。多數(shù)文獻提出要加快調(diào)整現(xiàn)行會計教育體系,加大對現(xiàn)有會計人員關于網(wǎng)絡會計知識的后續(xù)教育。同時由于現(xiàn)階段我國會計人員不可能通過短期培訓就成為復合型高素質(zhì)人才,所以還要從實際出發(fā),使信息技術(shù)逐步應用于會計,在現(xiàn)階段輔助以傳統(tǒng)手工會計,確保會計安全,如電子交易中原始憑證的確認與保留。
三、信息安全技術(shù)的應用
網(wǎng)絡的開放性使網(wǎng)絡易受攻擊,網(wǎng)絡的龐大性使病毒易滋生、傳播,會計更易面臨諸如泄密、黑客的侵襲而導致企業(yè)跨區(qū)域協(xié)同工作或與企業(yè)合作方網(wǎng)上交易時會計信息被盜或丟失等風險。計算機網(wǎng)絡病毒的存在直接破壞系統(tǒng)內(nèi)重要會計數(shù)據(jù),使系統(tǒng)不能正常運行,影響會計數(shù)據(jù)和信息的安全性和真實性。給網(wǎng)絡系統(tǒng)安全帶來了極大危害。多數(shù)文獻指出電子商務的信息安全在很大程度上依賴于技術(shù)的完善,這些技術(shù)包括加密技術(shù)、認證技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護技術(shù)、軟件保護技術(shù)、病毒檢測及清除技術(shù)等。但還應該注意以下方面。第一,采用以上技術(shù)的過程中需要花費一定的成本,一般情況下,費用是隨著安全性的提高而增加的,所以在采用安全技術(shù)的同時要考慮成本收益因素。第二。破解安全技術(shù)的成本不需大于所保護會計信息的價值。如果盜取信息的人破解密碼所花費的費用大于獲得信息而得到的收益,將不會去截取信息。第三。好的系統(tǒng)和好的協(xié)議必須根據(jù)人的觀念來進行設計。忽略易用性問題導致系統(tǒng)無法達到預期目標,安全功能非常難以理解,以至于用戶無法正確使用,從而避開這些安全功能,或者完全不在使用該系統(tǒng)。第四。在網(wǎng)絡本身存在種種安全性問題的情況下,要想保證會計的安全。在利用信息技術(shù)快捷的同時,在相當長的一段時間內(nèi)仍要依靠印鑒來確保憑證、合同的有效性以明確經(jīng)濟責任。
四、結(jié)論
會計信息安全不僅依賴于會計信息技術(shù)的合理可靠應用。還依賴于一個完善的會計安全管理制度。既有的很多會計信息安全管理制度尚存一些薄弱環(huán)節(jié),其完善是一個從實際出發(fā)的漸進過程。同時,會計信息技術(shù)在我國的應用也將是一個長期的過程,依賴于高素質(zhì)技術(shù)人員的培訓及各類相應配套設施的投資和建立。
參考文獻:
1、潘婧,網(wǎng)絡會計信息系統(tǒng)的安全風險及防范措施[J],財會研究,2008(2)
2、谷增軍,基于數(shù)據(jù)加密拉書的會計電子數(shù)據(jù)安全對策[J],財會通訊,2008(2)
3、昊亞飛,李新友等,信息安全風險評估[J],清華大學出版社,2007
4、李筱佳,會計信息化對會計實務的影響及對策[J],財會研究,2009(6)
5、金麗榮,會計信息系統(tǒng)的安全控制措施[J],科技資訊,2008(1)
6、尹曉偉IT環(huán)境下會計電算化內(nèi)部控制研究[J],會計之友,2008(11)
7、田志剛,劉秋生,現(xiàn)代管理型會計信息系統(tǒng)的內(nèi)部控制研究[J],會計研究,2008(10)
8、郝玉清,網(wǎng)絡會計的信息安全問題及其防范策略[J],北方經(jīng)貿(mào),2007(11)
第3篇:信息安全管理范文
關鍵詞:信息時代;信息安全;信息管理
1引言
國民經(jīng)濟的發(fā)展,帶來的是科技的進步,得益于科技發(fā)展,信息技術(shù)在我國得到大范圍的普及,如今我國已進入全民信息時代。信息時代下,大數(shù)據(jù)技術(shù)、云技術(shù)等信息交互技術(shù)成為時展弄潮兒。通過網(wǎng)絡的搜索引擎、自媒體、電子商務等途徑,個人的學習工作日趨方便,企業(yè)的生產(chǎn)和經(jīng)營效率日趨提升。此外伴隨“互聯(lián)網(wǎng)+”在各行各業(yè)的深化應用,個人信息直接開始參與到社交、醫(yī)療等多個領域,在信息時代為人們帶來便利的同時,人們的個人信息也推動了社會的信息化發(fā)展。基于以上背景,個人信息在網(wǎng)絡中的傳遞,為不法分子提供了可乘之機,因此在信息時代下進行信息安全管理相關分析便顯得尤為重要。通過分析,找尋提升信息安全的有效策略,提升人們在網(wǎng)絡上的個人信息和企業(yè)信息安全,這也是當下信息時代應用互聯(lián)網(wǎng)的人們的共同企求。
2信息安全的概念
信息安全是指信息網(wǎng)絡的硬件、軟件及系統(tǒng)內(nèi)數(shù)據(jù)受到保護,不受惡意攻擊和行為的破壞而損壞,保障系統(tǒng)正常持續(xù)運行,保障其內(nèi)的信息傳輸不中斷。PC端、移動端等載體的發(fā)展,進一步激發(fā)了互聯(lián)網(wǎng)的深化發(fā)展。人與人之間的交互借助互聯(lián)網(wǎng)突破了時間和空間的限制,溝通和交流變得前所未有的方便和快捷。信息傳遞的速度也是光速抵達,往往前一分鐘黑龍江發(fā)生的大事件,后一分鐘北京的人民便會知曉。信息時代下,除了人們獲取信息的速度加快外,人們對信息獲取的范圍也極具提升。“兩足不往門外邁,一眼看盡天下聞”成為現(xiàn)實,不用出門便可了解天下大事,可以知道遠方紐約的天氣狀況,可以了解降息等相關的民生政策,許多疑問也可快速通過搜索引擎獲取答案,信息技術(shù)正以不同的方式方便和改變著人們的生活。在人們使用信息技術(shù)獲取信息的過程中,不可避免的會使用到個人信息進行授權(quán),或者經(jīng)由其他途徑將自己的個人信息置于互聯(lián)網(wǎng)之上,由于各種原因引發(fā)的個人和企業(yè)信息泄露,對個人和企業(yè)造成的損失是巨大的,因此需要通過宏觀的策略和微觀的技術(shù)手段來提升人們使用互聯(lián)網(wǎng)的安全性,保障信息安全。
3推進信息安全工作的意義
3.1維持網(wǎng)絡秩序的穩(wěn)定與安全
人們使用互聯(lián)網(wǎng),從網(wǎng)絡上獲取各種各樣需求的信息,人們也將個人的信息反饋到互聯(lián)網(wǎng)上進行保存、傳遞、分享等。互聯(lián)網(wǎng)的建設發(fā)展并非能夠一直保持客觀安全,互聯(lián)網(wǎng)的維護工作由人來完成,網(wǎng)絡安全工作需要進行實時維護,定期通過技更新術(shù)、補丁內(nèi)容等維系互聯(lián)網(wǎng)的穩(wěn)定,不斷的填補互聯(lián)網(wǎng)中的漏洞,以防被有心人乘機而入,傳播病毒或者竊取信息。推進信息安全工作,保障互聯(lián)網(wǎng)秩序的穩(wěn)定和安全,能夠使互聯(lián)網(wǎng)中存留的個人和企業(yè)信息不致泄露或者遺失,能夠使互聯(lián)網(wǎng)更好的為人們和企業(yè)服務,充分發(fā)揮互聯(lián)網(wǎng)的便利性和快捷性。
3.2提升用戶對信息安全的認知
開展和推進信息安全工作,通過網(wǎng)絡宣傳渠道等提醒人們對信息安全環(huán)境和信息安全傳播加以重視。能夠有效提升用戶對信息安全的認知。通過宣傳或科普,使人們能夠基本了解信息在互聯(lián)網(wǎng)中傳播的規(guī)律,以及互聯(lián)網(wǎng)當中存有的漏洞會對個人和企業(yè)信息造成泄露,從而對自己造成損失,由此加強個人和企業(yè)的互聯(lián)網(wǎng)使用規(guī)范,能夠有意識的去以規(guī)范個人信息安全行為帶動全網(wǎng)的信息安全。
3.3維系社會安定,保障國民經(jīng)濟穩(wěn)定
隨著“互聯(lián)網(wǎng)+”的深入發(fā)展,互聯(lián)網(wǎng)與其承載的海量信息資源已經(jīng)改變了各行各業(yè)的傳統(tǒng)經(jīng)營生態(tài)。一方面?zhèn)€人和企業(yè)經(jīng)濟收益與信息化時代掛鉤,個人的知識產(chǎn)出、企業(yè)的消息傳遞、消息獲取、技術(shù)革新等離不開信息安全,另一方面?zhèn)€人與企業(yè)的財務信息等同樣處于互聯(lián)網(wǎng)之中,存在于海量的信息之中,保障信息安全,就是切實保障個人和企業(yè)的財產(chǎn)安全不受侵犯。從以上兩點來看,信息安全能夠保障國民經(jīng)濟的可持續(xù)發(fā)展,也能夠保障社會的穩(wěn)定。
4信息安全面臨的威脅
互聯(lián)網(wǎng)以及大數(shù)據(jù)等技術(shù)的深化發(fā)展與應用,在為人們學習、生活、工作、生產(chǎn)等帶來便利的同時,基于信息的傳播原理,個人和企業(yè)的信息同樣處在互聯(lián)網(wǎng)和大數(shù)據(jù)的范疇之內(nèi),由于互聯(lián)網(wǎng)技術(shù)存在的一些問題以及大數(shù)據(jù)技術(shù)的不夠完善,信息技術(shù)的發(fā)展也帶來了對個人隱私安全問題的威脅。具體來看,當今信息安全面臨的威脅具體如下:
4.1個人隱私泄露
互聯(lián)網(wǎng)和大數(shù)據(jù)時代,人們通過各種各樣的信息平臺進行信息資源的獲取和交互操作,在這樣的過程中,人們不可避免的會在這些平臺上以個人信息錄入的方式進行注冊,便是在這樣一次次操作的過程中,個人的身份證、銀行卡、家庭住址、聯(lián)系方式等信息代表的隱私,會由于平臺信息的泄露而發(fā)生泄露,從而影響到個人隱私的安全,為個人帶來極大的生活及財產(chǎn)安全隱患。這也是當今信息時代下,信息安全面臨的最為普遍的一個問題,未來互聯(lián)網(wǎng)和大數(shù)據(jù)等技術(shù)的發(fā)展,也要集中處理個人隱私泄露問題,通過不斷及時填補互聯(lián)網(wǎng)漏洞和完善大數(shù)據(jù)等技術(shù)來強化信息安全,確保個人隱私泄露的幾率逐步下降。
4.2大數(shù)據(jù)技術(shù)的安全風險
大數(shù)據(jù)技術(shù)的應用,能夠隨時記錄人們的閱讀、購物、出行等喜好,省去了人們大量的選擇時間,極大的方便了人們生活。同時大數(shù)據(jù)技術(shù)的使用還能幫助企業(yè)完成數(shù)據(jù)篩選、分析以及存儲等多方面的需求,以便企業(yè)能夠基于算法下的結(jié)果回饋,及時掌握市場動態(tài)和客戶群體喜好,針對性的推出更加符合市場需求的產(chǎn)品和服務。大數(shù)據(jù)的技術(shù)應用廣泛,但其存儲技術(shù)卻較為簡單,通常采用的云端服務器存儲模式一般為逐級分步法,這種存儲方式在為個人和企業(yè)調(diào)用方面帶來便利的同時,也由于結(jié)構(gòu)簡單而容易遭致黑客的輕擊攻破,使內(nèi)部存儲的信息泄露,總的來說該主流存儲方式方便由于,安全性不足。此外,當前大數(shù)據(jù)技術(shù)起步較晚,發(fā)展還不夠完善,在信息采集的過程中往往無法一步到位,需要經(jīng)過多個環(huán)節(jié)進行節(jié)點式的信息收集,收集環(huán)節(jié)的增多造成大數(shù)據(jù)技術(shù)使用的不便,同時提升了用戶信息安全的風險。綜上,大數(shù)據(jù)技術(shù)的使用,從目前來看無論是內(nèi)部管理還是外部防御體系,在信息安全方面均有較明顯的漏洞。
4.3智能終端的信息安全威脅
相比日趨成熟的PC端信息安全防護體系,信息時代下移動端的強勢崛起,信息傳遞重心逐漸由PC端轉(zhuǎn)向移動端,而移動端的安全防護體系比之PC端的信息安全防護體系要遠遠不如。移動端上有諸如微信、釘釘、QQ、地圖、美團等一系列關乎著每一個個體身份、家庭住址、辦公信息、聯(lián)系方式等絕對隱私的應用。這些應用平臺發(fā)生的信息泄露或者是由個人操作不當造成的信息泄露均會給個人的生活帶來極大困擾。此外,移動端當中存儲的信息、照片、視頻等數(shù)據(jù),同樣容易發(fā)生泄露,因此人們需要加強對智能終端的信息安全防護。
5信息時代下信息安全防護策略
信息時代下,信息安全防護的工作不僅僅是信息安全管理人員應當重視的問題,它同我們每一個人都息息相關。信息技術(shù)因提供信息的便捷和信息的豐富為人們學習、生活、工作、生產(chǎn)等帶去了極大便利的同時,因云端服務器結(jié)構(gòu)、系統(tǒng)漏洞的客觀問題會導致人們的信息發(fā)生泄露,因大數(shù)據(jù)技術(shù)發(fā)展不完善、防護措施體系不健全等外部人為管理原因會導致人們的信息發(fā)生泄露,最后因為個人信息安全意識薄弱和部分不法分子的存在同樣會加大我們信息安全的風險。因此信息安全的防護策略要從以下幾個方面著手:
5.1建立健全相關法規(guī)
信息時代下,基于互聯(lián)網(wǎng)用戶的增多,互聯(lián)網(wǎng)相關的企業(yè)也在逐步的擴張。信息時代的快速發(fā)展,對經(jīng)濟建設的發(fā)展提供了有力幫助,同時也對人們的生活造成了深刻的影響,個人信息同互聯(lián)網(wǎng)行業(yè)間的交互每時每刻都在發(fā)生著,包含個人的身份信息、聯(lián)系方式、家庭住址、消費能力、收入水平、朋友圈等的個人信息,互聯(lián)網(wǎng)企業(yè)的獲取難度較低,因此有些不良企業(yè)以及外部的一些黑客通過出賣用戶個人信息進行牟利或直接應用個人信息進行詐騙的事件層出不窮。相應的國家立法層面,當前的相關法律對危害他人信息安全行為的法律法規(guī)不夠健全,法律完善的速度遠遠不及信息時展信息安全受侵害事件類型的增長速度。因此需要國家在未來的日子中,在深入了解網(wǎng)絡行業(yè)發(fā)展現(xiàn)狀以及危害信息安全典型事件后,并針對未來可能產(chǎn)生的新的一系列危害信息安全的行為進行法律的完善,同時也需要監(jiān)督部門加強監(jiān)督執(zhí)法,從而保障個人和企業(yè)的信息安全。
5.2技術(shù)完善
人們通過信息技術(shù)進行信息內(nèi)容的獲取,同時也借助網(wǎng)絡平臺,實現(xiàn)的信息內(nèi)容的傳遞和交互,通過網(wǎng)絡平臺將分布在不同時間和空間的人們連接到了一起,實現(xiàn)了零距離的溝通和交流,同時實現(xiàn)了零等待的信息傳輸,從而為人們的生活帶去了便利。就在這樣一個共享網(wǎng)絡平臺的使用過程中,發(fā)生的某些信息傳遞行為,不經(jīng)意間自身包含身份、聯(lián)系方式、銀行賬號等隱私信息會隨之泄露,引發(fā)信息安全問題。此外,受限于互聯(lián)網(wǎng)技術(shù)的不夠成熟以及大數(shù)據(jù)等技術(shù)的不夠完善,在信息傳遞和交互的過程中,部分不法分子會通過技術(shù)手段,找尋平臺當中的技術(shù)漏洞,有目的的竊取用戶和企業(yè)的隱私信息用以牟利。因此需要從技術(shù)層面加強信息安全,具體包含以下幾個方面:
5.2.1加固網(wǎng)絡節(jié)點,保障數(shù)據(jù)安全針對信息傳遞和交互在互聯(lián)網(wǎng)中的各個節(jié)點進行防護,重點對服務器、交換機等進行加固,根本防護目的在于保障信息在傳輸過程中能夠不會泄密。此外,大數(shù)據(jù)的長期傳輸會對網(wǎng)絡中的各個節(jié)點造成嚴重的數(shù)據(jù)負擔,因此要適時的更換或進階各個節(jié)點的軟硬件設施,提升各節(jié)點的數(shù)據(jù)處理能力。保護信息安全,保護數(shù)據(jù)不被竊取的首要前提是數(shù)據(jù)傳輸?shù)男誓軌虮U稀?/p>
5.2.2革新防火墻技術(shù)加強防護信息數(shù)據(jù)的傳遞均為虛擬數(shù)據(jù)的傳輸,對這些虛擬數(shù)據(jù)的傳輸和過濾,需要在本地網(wǎng)絡中設置網(wǎng)絡防火墻,以防火墻來阻隔那些網(wǎng)路中的不良信息和可能隱藏著的病毒文件。此外,防火墻還能夠針對計算機本身防止端口泄密,以及當計算機發(fā)生被惡意攻擊時能夠迅速的啟動防護程序,組織不良程序?qū)τ嬎銠C信息內(nèi)容的竊取,保障核心數(shù)據(jù)不至泄露。新一代的防火墻技術(shù)的應用,可以針對應用識別、應用策略、網(wǎng)絡安全策略、終端識別與審計這四個方面的內(nèi)容進行提升。加強各項協(xié)議的理解,可以準確高效解析各式協(xié)議;更加高效的行為檢測,可以精準識別網(wǎng)絡流量的應用類型以及行為,由此規(guī)避黑客應用程序的攻擊。
5.2.3建立額外的云備份數(shù)據(jù)建立額外的云備份數(shù)據(jù)適用于信息時代下的大數(shù)據(jù)技術(shù)應用層面,通過及時的檢查和定期的備份本地存儲在云端的數(shù)據(jù),在數(shù)據(jù)被盜用的預警信息發(fā)出警報后,如果采取防衛(wèi)措施無法有效組織個人信息的泄露,便要及時通過數(shù)據(jù)重置的操作強制停止不良程序和文件對計算機及網(wǎng)絡系統(tǒng)的侵害。此外,云備份數(shù)據(jù)還能夠?qū)Υ鎯ο到y(tǒng)本身引發(fā)的存儲障礙造成的信息遺失進行彌補。
5.3用戶要加強個人信息保護意識
信息時代下保障信息安全,除了要依托外部的保障措施,用戶也需要加強個人信息保護意識。目前的信息平臺中,信息內(nèi)容魚龍混雜,網(wǎng)站品質(zhì)良莠不齊,不乏有一些惡意釣魚網(wǎng)站的存在。用戶在信息獲取的過程中,對這些惡意釣魚網(wǎng)站和非法網(wǎng)站要具備基本的鑒別意識和能力,避免登入這類網(wǎng)站引發(fā)個人信息的泄露。同時應用殺毒軟件定期對個人電腦、辦公電腦等進行病毒查殺,尤其是在需要輸入賬號和密碼前更應保障網(wǎng)絡環(huán)境的安全。通過日常規(guī)范的互聯(lián)網(wǎng)操作,可以有效規(guī)避信息獲取和互動過程中可能遭遇的信息安全風險。
第4篇:信息安全管理范文
【關鍵詞】企業(yè);數(shù)字化;檔案;管理
一、提高安全意識
在民營企業(yè)發(fā)展中,為了實現(xiàn)檔案信息的數(shù)字化管理,需要領導提高安全意識。在一些企業(yè)中,受思想觀念的制約,一些管理人員還在使用傳統(tǒng)的方式。工作人員未掌握先進文化知識,導致安全管理工作面對較大問題。為了制約該現(xiàn)象的產(chǎn)生,在民營企業(yè)發(fā)展過程中,需要做好積極宣傳與引導工作。如:利用電視、講座、廣播等方式實現(xiàn)教育宣傳工作,為企業(yè)員工傳授相關的法制知識。通過檔案信息安全管理工作的數(shù)字化宣傳工作,能夠讓企業(yè)人員增強安全意識,構(gòu)建堅固的思想防線。在宣傳工作中,還要將利益發(fā)展和安全作為主體,保證能夠?qū)?shù)字化檔案信息安全管理工作完好發(fā)展。在工作具體執(zhí)行期間,還需要根據(jù)數(shù)字化檔案信息安全工作執(zhí)行期間的實際情況,實現(xiàn)統(tǒng)籌性規(guī)劃,分項目實施。在企業(yè)積極引導下,明確人員的責任和意識,保證專業(yè)人員都能積極參與到檔案信息安全管理工作中,從而實現(xiàn)民營企業(yè)數(shù)字化檔案信息的安全發(fā)展。
二、健全法律法規(guī)
加強法律法規(guī)的完善性,保證數(shù)字化檔案信息安全管理工作的規(guī)范執(zhí)行。在該執(zhí)行期間,需要從法律法規(guī)角度對其進行研究,基于信息化時展需要,為民營企業(yè)的檔案信息安全管理工作營造良好的發(fā)展氛圍。執(zhí)行過程中,需要根據(jù)信息化發(fā)展要求、檔案信息的主要特征,為其制定完善的法律法規(guī)。在該體系執(zhí)行時,不僅能加強民營企業(yè)數(shù)字化檔案信息管理工作的規(guī)范化,實現(xiàn)信息的開放性發(fā)展,還能保證民營企業(yè)檔案信息完整、真實使用。在現(xiàn)代化發(fā)展背景下,民營企業(yè)面臨較大的挑戰(zhàn),為了提高檔案信息管理能力,還需要建立完善的管理制度,分析數(shù)字化檔案信息安全管理工作中存在的一些影響因素,保證制度的有效執(zhí)行,保證在具體實施工作中,能夠?qū)踩砟顫B透到企業(yè)檔案信息管理工作中去。在實施工作中,還要為數(shù)字化檔案信息管理工作提供備份制度,其中,需要包括登記、異地使用制度等。不僅如此,還要促進數(shù)字化檔案開放工作的執(zhí)行期間,保證能夠開放一些信息。還需要為檔案信息的數(shù)字化管理建立維護制度,促進管理工作流程的規(guī)范發(fā)展,保證工作中各個環(huán)節(jié)的人員職責都能充分落實,實現(xiàn)任務分布明確,職責合理等,在不同崗位上,遵循不同的工作事項和流程,這樣才能使檔案信息管理工作符合新時期的發(fā)展要求,維持民營企業(yè)的健康進步。
三、利用先進手段
在民營企業(yè)不斷進步與發(fā)展的背景下,為了提升數(shù)字化檔案信息安全管理水平,需要引進先進執(zhí)行手段。先進手段的引入能夠為民營企業(yè)的檔案信息管理工作提供有效保障,在內(nèi)部管理工作中,需要相關部門根據(jù)自身的發(fā)展條件,借鑒一些成功經(jīng)歷,引入有效的數(shù)字化檔案信息安全軟件,促進信息安全設備的有效配置,保證企業(yè)在數(shù)字化檔案管理工作中,提高其中的技術(shù)含量。不僅如此,在具體執(zhí)行期間,還需要根據(jù)企業(yè)建立的數(shù)字化管理系統(tǒng)化,分析運行的實際情況,對計算機的硬件和軟件進行優(yōu)化選擇,提高其使用性能。在對計算機軟件與硬件進行選擇過程中,要重視計算機的品牌和服務器,以全方位的角度對計算機硬件的兼容性、可擴展性進行思考、嚴格審核,在該工作中,不僅能避免產(chǎn)生數(shù)據(jù)丟失現(xiàn)象,還能實現(xiàn)計算機系統(tǒng)的優(yōu)化升級。并且,還需要為其設置信息訪問認證工作,開發(fā)防病毒軟件,為數(shù)字化檔案信息執(zhí)行加密工作,這樣不僅能防止數(shù)據(jù)信息被非法侵入,還能促進數(shù)字化檔案信息的安全管理。
四、提高人員素質(zhì)
提高工作人員的自身素質(zhì),增強工作人員的業(yè)務能力,能夠為數(shù)字化檔案信息安全管理工作提供保障。保障信息安全使用的主要因素是人,所以,提高工作人員的綜合素質(zhì)與業(yè)務水平十分重要。在當前網(wǎng)絡發(fā)展環(huán)境下,為了促進數(shù)字化檔案信息管理工作的有效執(zhí)行,工作人員的能力高低與其存在較大關系,因此,需要提高管理工作人員的文化知識,引導他們掌握先進技術(shù)的利用方式,學會對計算機進行熟練使用。還要認識到檔案信息管理知識的重要性,尤其在數(shù)字化發(fā)展趨勢下,要實現(xiàn)理論與實踐的充分結(jié)合,提高自身的安全意識,在工作中具備警惕意識,這樣才能對安全風險進行有效防范。基于該情況的分析,在民營企業(yè)逐漸發(fā)展時期,提高工作人員與管理人員的業(yè)務能力和自身素質(zhì)十分重要。尤其在數(shù)字化發(fā)展趨勢下,不僅能為檔案信息管理工作提供保障,維護執(zhí)行工作的安全性,還能提升民營企業(yè)的地位,進而使其獲得更高效益。
五、總結(jié)
對民營企業(yè)實現(xiàn)數(shù)字化信息管理工作,改變傳統(tǒng)的發(fā)展趨勢,保證其符合新時期的發(fā)展要求,一定要形成正確的管理意識,增強自身的安全理念和文化水平,在高速發(fā)展趨勢下合理利用數(shù)字化管理方式,保證能夠符合現(xiàn)代化社會發(fā)展的需求.
【參考文獻】
[1]靳樹梅.企業(yè)數(shù)字化檔案管理工作的實踐與思考[J].無線互聯(lián)科技,2013(8):194-194.
[2]李春臨.淺析企業(yè)數(shù)字化檔案管理的優(yōu)勢[J].中國化工貿(mào)易,2015,7(16):307.
[3]喻丹.內(nèi)容管理的企業(yè)數(shù)字化檔案管理系統(tǒng)研究與應用[J].東方企業(yè)文化,2014(16):272-272.
第5篇:信息安全管理范文
一、數(shù)字檔案信息安全管理的基本含義
數(shù)字檔案是指在計算機及其網(wǎng)絡環(huán)境下用數(shù)字代碼形式把信息記錄于電子載體而生成的文件,是一個國家、組織乃至家庭或個人形成的數(shù)量越來越多且越來越重要的信息資源。
全面、準確地理解“信息安全”的基本含義,是開展數(shù)字檔案信息安全管理和實現(xiàn)其目標的前提。信息安全,簡單地說,是指信息的保密性、完整性和可用性的保持問題。信息的保密性根據(jù)信息被允許訪問對象的多少而不同,能保障信息僅僅為那些被授權(quán)使用的人獲取。信息的完整性一方面是指信息再利用、傳輸、儲存等過程中不被篡改、丟失、缺損等,另一方面是指信息處理方法的正確性,不正當?shù)牟僮鳎缯`刪除文件,有可能造成重要文件的丟失。信息的可用性是指信息及相關的信息資產(chǎn)在授權(quán)人需要的時候可以立即獲得。
二、數(shù)字檔案信息安全管理的基本原則
1.數(shù)字檔案信息安全策略制定的原則。數(shù)字檔案信息安全策略,是指導數(shù)字檔案信息進行安全管理、保護和分配的規(guī)則和批示,為數(shù)字檔案信息安全管理提供導向和支持。數(shù)字檔案信息安全策略應闡明管理層的承諾,提出組織管理數(shù)字檔案信息安全的方法,并由管理層批準,采用適當?shù)姆绞剑▊鬟_與培訓)將方針傳達給管理人員。同時,為確保方針持續(xù)的適應性和有效性,我們應定期對其進行評審與評價,根據(jù)評審與評價結(jié)果保持原方針或?qū)ζ溥M行調(diào)整。在制定數(shù)字檔案信息安全策略工作中,我們必須始終保持預防控制為主的思想,做到防患于未然。
2.數(shù)字檔案信息安全風險評估與管控的原則。數(shù)字檔案信息安全風險的降低是通過安全控制目標和方式的選擇、確立和有效實施而得以實現(xiàn)的。控制目標與控制方式的選擇不應盲目進行,應建立在風險評估的基礎上,根據(jù)風險評估的結(jié)果,進行風險大小的排序,對于風險級別高的資產(chǎn)應被有限分配資源進行安全保護。數(shù)字檔案信息安全的管控,要做到數(shù)字檔案信息的絕對安全(即零風險)是不可能的,只要將殘余風險置于有效控制范圍內(nèi)便可。同時,實施和維持管控是需要費用支出的。我們接受與不接受風險的界限就是考慮風險控制成本與機會損失成本的平衡,如果風險控制成本大于機會損失成本,我們便接受風險,反之,我們就不接受風險。
3.數(shù)字檔案信息安全商務持續(xù)性原則。數(shù)字檔案信息安全需要建立并實施商務持續(xù)性管理。通過組織預防和恢復控制措施相結(jié)合的方式,確保組織的關鍵商務活動不會因數(shù)字檔案信息安全故障造成中斷或以最短的時間恢復商務運作。事實上,安全控制可以分為預防性控制措施和保護性控制措施,預防性措施可以降低威脅發(fā)生的可能性和減少安全薄弱點,而保護性措施,如制定并實施商務持續(xù)性計劃、購買商業(yè)保險等,可以減少因威脅發(fā)生所造成的影響。
4.數(shù)字檔案信息安全堅持動態(tài)管理的原則。數(shù)字檔案信息的風險會隨著時間而發(fā)生變化。所以,我們在完成了數(shù)字檔案信息的風險評估、風險控制與風險接受的一個全面系統(tǒng)的風險管理過程后,雖然已將風險控制在可接受的水平,但這并不意味著風險評估工作可以因此而結(jié)束,風險管理應是一個動態(tài)的管理過程,我們應適時動態(tài)地開展風險評估與風險控制。
從目前檔案界所探討的內(nèi)容來看,數(shù)字檔案管理包括數(shù)字檔案信息的訪問控制、數(shù)字檔案信息的真實可靠、紙質(zhì)與數(shù)字檔案的共存、數(shù)字檔案的備份管理、數(shù)字檔案管理的前段控制和全程管理、數(shù)字檔案載體與格式的轉(zhuǎn)換、數(shù)字檔案的物理鑒定或技術(shù)鑒定等。這顯然仍屬傳統(tǒng)的管理方式,還不是一種系統(tǒng)、信息化管理思想的體現(xiàn)。既沒有全面動態(tài)的、系統(tǒng)的、全員參與的、制度化的、預防為主的管理方式的體現(xiàn),也沒有確定數(shù)字檔案信息安全管理的方針和范圍,更談不上在信息安全管理的基礎上選擇適宜的控制目標與控制方式進行控制。
第6篇:信息安全管理范文
確定信息安全管理體系適用的范圍。信息安全管理體系的范圍就是需要重點進行管理的安全領域。組織需要根據(jù)自己的實際情況,可以在整個組織范圍內(nèi)、也可以在個別部門或領域內(nèi)實施。在本階段的工作,應將組織劃分成不同的信息安全控制領域,這樣做易于組織對有不同需求的領域進行適當?shù)男畔踩芾怼T诙x適用范圍時,應重點考慮組織的適用環(huán)境、適用人員、現(xiàn)有IT技術(shù)、現(xiàn)有信息資產(chǎn)等。
現(xiàn)狀調(diào)查與風險評估.依據(jù)有關信息安全技術(shù)與管理標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行調(diào)研和評價,以及評估信息資產(chǎn)面臨的威脅以及導致安全事件發(fā)生的可能性,并結(jié)合安全事件所涉及的信息資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。
建立信息安全管理框架:建立信息安全管理體系要規(guī)劃和建立一個合理的信息安全管理框架,要從整體和全局的視角,從信息系統(tǒng)的所有層面進行整體安全建設,從信息系統(tǒng)本身出發(fā),根據(jù)業(yè)務性質(zhì)、組織特征、信息資產(chǎn)狀況和技術(shù)條件,建立信息資產(chǎn)清單,進行風險分析、需求分析和選擇安全控制,準備適用性聲明等步驟,從而建立安全體系并提出安全解決方案。
信息安全管理體系文件編寫:建立并保持一個文件化的信息安全管理體系是ISO/IEC27001:2005標準的總體要求,編寫信息安全管理體系文件是建立信息安全管理體系的基礎工作,也是一個組織實現(xiàn)風險控制、評價和改進信息安全管理體系、實現(xiàn)持續(xù)改進不可少的依據(jù)。在信息安全管理體系建立的文件中應該包含有:安全方針文檔、適用范圍文檔、風險評估文檔、實施與控制文檔、適用性聲明文檔。
信息安全管理體系的運行與改進。信息安全管理體系文件編制完成以后,組織應按照文件的控制要求進行審核與批準并實施,至此,信息安全管理體系將進入運行階段。在此期間,組織應加強運作力度,充分發(fā)揮體系本身的各項功能,及時發(fā)現(xiàn)體系策劃中存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對體系予以更改,以達到進一步完善信息安全管理體系的目的。
第7篇:信息安全管理范文
1.1崗位人員安全意識薄弱
崗位人員隨便下載安裝個人需要的軟件程序,往往會在安裝軟件的過程中直接將一些安裝程序中附帶的插件也裝在了操作系統(tǒng)中,如果是惡性插件,必然會造成系統(tǒng)的不穩(wěn)定,嚴重者甚至會造成信息安全事件的發(fā)生,這些事件的發(fā)生很大程度上就是因為崗位人員安全意識薄弱所造成的。安全意識薄弱的因素有很多,一是相關技術(shù)部門沒有長期的進行圖書館信息安全意識的思想灌輸;二是崗位人員本身對信息安全意識重視不夠。
1.2人員安全管理制度不完善,執(zhí)行力不高
制度的制定給予管理提供依據(jù),無制度便無章可循,相關工作就會混亂無章。雖然多數(shù)高職院校圖書館在人員安全管理方面都制定了相關的管理制度,但制度的內(nèi)容不夠完善,很多細節(jié)問題不夠全面,甚至只是“白紙黑字”而已,形同虛設,而且執(zhí)行起來也不夠徹底,執(zhí)行力不高。這大多數(shù)高職院校尤其是民辦性質(zhì)的高職院校圖書館都普通存在這樣的現(xiàn)象。
2人員安全管理策略
要解決人員安全管理不當帶來的信息安全問題,必須要比較全面地完善人員安全方面的管理制度,提高執(zhí)行力。具體策略如下:
2.1技術(shù)人員崗位分工協(xié)作
對于技術(shù)人員充足的高職院校圖書館,可以將技術(shù)人員劃分為三個崗位:硬件安全人員、軟件安全人員和網(wǎng)絡數(shù)據(jù)人員。根據(jù)圖書館的實際情況出發(fā),將這三類技術(shù)人員進行分工協(xié)作,日常工作中完成各自崗位上的職責。具體劃分可以參考附表。
2.2崗位人員安全管理
2.2.1崗位人員的聘用審核
大多數(shù)圖書館都會每年進行一次崗位人員的招聘,因此,每年崗位人員的聘用必須經(jīng)過嚴格的政審并且考核其業(yè)務能力,尤其是安全保密方面的能力。對于信息安全意識強的,工作業(yè)務能力高的,要擇優(yōu)錄取。嚴格的聘用審核可以將一些毫無信息安全意識的聘用人員扼殺在圖書館外。
2.2.2崗位人員工作機使用限制
保障圖書館數(shù)字信息的全面安全與崗位人員是否正確使用工作機有很大的關系,不法黑客就是利用非技術(shù)人員亂下載亂安裝插件的陋習造成的系統(tǒng)漏洞進行系統(tǒng)的攻擊。根據(jù)各館的實際工作需要,可以對工作機的使用作必要的使用說明,例如可以這樣限制:①不得隨意下載安裝存在安全隱患的插件或其他與圖書館工作無關的軟件,例如:證券軟件、視頻軟件等。②不得隨意瀏覽不安全不健康的網(wǎng)頁;③如有需要安裝工作需要的軟件,須聯(lián)系技術(shù)人員為其下載安全;④遇到信息管理系統(tǒng)客戶端無法正常使用的情況,不要自行卸載或重裝,須聯(lián)系技術(shù)人員解決問題;⑤其他的一些使用原則。
2.2.3崗位人員安全意識培訓
信息安全意識對于信息至上的圖書館而言是非常重要的,如果崗位人員都安全意識高,完全可以避免很多信息安全事件的發(fā)生。安全培訓可以根據(jù)圖書館制定信息安全培訓制度與培訓計劃,有針對性地有重點地定時對不同崗位的工作人員進行培訓。例如:X館在每個學期末的全館學期工作總結(jié)會議上,信息技術(shù)部主任都會對全館的工作人員進行迫切高度強調(diào)信息安全意識的重要性。
2.2.4崗位人員功能賬號統(tǒng)一管理
圖書館信息管理系統(tǒng)包括編目、流通、期刊、系統(tǒng)管理、檢索、采訪等幾個子功能系統(tǒng),不同崗位的工作人員擁有相應的子系統(tǒng)功能賬號。為了保證數(shù)字信息的安全,崗位人員功能賬號的使用必須統(tǒng)一由相關部門(信息技術(shù)部)分配管理,提出有效的管理分配原則,例如:一個崗位人員只能擁有該崗位的功能賬號,不得擁有其他崗位的功能賬號;對于某些崗位人員有業(yè)務工作需求,需要其他崗位的功能賬號,可以設置多個公共功能賬號提供使用,需求者必須向信息技術(shù)部門提出申請;新進的崗位人員需向信息技術(shù)部相關工作人員申請賬號;崗位人員需要修改賬號或密碼,必須向技術(shù)部相關工作人員提出需求給予修改。
2.3讀者用戶安全管理
圖書館的信息是為讀者用戶服務的,信息訪問量最大的群體就是讀者用戶,讀者用戶是否安全訪問也直接影響著信息管理系統(tǒng)的信息安全。因此,圖書館有必要采取有效措施,制定確實可行的讀者用戶安全訪問管理制度,確保讀者用戶訪問圖書館信息的安全。可以通過以下方式提高讀者的信息安全意識:①每年新生入學,圖書館可以通過開展新生入館教育的形式對新生讀者進行信息安全意識的提高,通過用戶安全培訓,提高用戶安全意識,使其自覺遵守安全制度。②通過網(wǎng)絡宣傳、現(xiàn)場海報宣傳,小冊子派發(fā)宣傳、講座演講宣傳等形式對讀者長期進行信息安全意識的宣傳,提升讀者的信息素養(yǎng),讓讀者掌握簡單有效的病毒攻擊防護技巧。
3結(jié)束語
第8篇:信息安全管理范文
【關鍵詞】 電子檔案 安全管理 存在問題 技術(shù)措施
和紙質(zhì)檔案相比,電子檔案安全、準確的保存和維護是檔案工作的重點和難點。電子檔案的實質(zhì)是一些電子文件,它是輔助于計算機中的多種信息才得以轉(zhuǎn)化和實現(xiàn)的,這些所謂的電子文件是具有歸檔保存的價值的。由于電子版的文件容易受到電腦惡意病毒等因素的影響,其原始資料被篡改的可能性較大,因此,做好電子檔案信息的安全管理工作就顯得更為重要。
1 電子檔案信息管理過程中存在的問題
1.1 電子檔案本身的不安全性
(1)憑借計算機運作的信息網(wǎng)絡、光盤技術(shù)、傳真技術(shù)等都存在一定的不安全性,也包括電子檔案,其信息在輸入、保存和傳遞的過程中可能會遇到病毒侵犯、信息丟失、感染、失控,或者人為破壞等因素的影響。
(2)由于存儲電子檔案是經(jīng)過一定的程序控制,形成一系列數(shù)字代碼,最終保存下來的過程,其數(shù)據(jù)很容易被改動。此外,電子檔案的信息一般都存儲在光盤、磁盤等介質(zhì)中,容易受到外界不利因素的影響,如果沒有得到及時、妥善的管理和保存,其信息就很容易丟失。
(3)電子檔案的歸檔問題。通常我們認為電子檔案已經(jīng)進行了歸檔保存,集中在計算機某一特定的位置,對電腦中一些不常用或不起眼的文件就不去細心管理,但實際上這些歸檔保存的電子檔案是覆蓋在計算機的各個部位的,一旦其中一個環(huán)節(jié)出了問題,那么電子檔案信息就有可能被破壞甚至丟失。
1.2 電子檔案信息管理中的安全隱患
(1)部分機構(gòu)從檔案制作到歸檔保存整個過程都缺乏專門檔案工作人員的參與和指導,這就使電子檔案從頭到尾存在著嚴重的安全隱患。
(2)電子檔案的存儲會受到存儲器的影響,頻繁的存儲歸檔可能會使存儲器的容量變小,當新的電子檔案產(chǎn)生時原有的電子檔案就會被覆蓋,導致部分信息丟失,電子檔案不完整。
(3)計算機網(wǎng)絡的迅速發(fā)展給電子檔案的安全管理帶來了不同程度的問題。網(wǎng)絡發(fā)展速度之快,很多檔案工作者來不及了解這方面的知識,缺乏相應的技術(shù)指導,這樣建成的電子檔案歸檔管理系統(tǒng)就不可能完善,達不到標準檔案管理的要求。
(4)信息技術(shù)的不斷更新使電子檔案管理不便。目前電子檔案的管理不僅僅是純粹的文字處理,還借助一些先進的信息技術(shù),其復雜程度遠高于傳統(tǒng)紙質(zhì)檔案的管理模式。例如可按照辦公環(huán)境的需求,在進行文字處理時適當增加一些圖形、聲音等批示,將檔案中不同的信息存放在不同的位置,使檔案在不同的環(huán)境中都具有可讀性。
(5)電子檔案尚未設置明確的法律效力。一般來講文件的法律效力與其載體息息相關,如紙質(zhì)文件,但是由于電子檔案的載體不固定,都是光盤、磁盤這樣的新型材料的載體,無法制定相應的法律條文。
2 保護電子檔案信息安全的措施
2.1 安全管理措施
電子檔案在形成、整理、保存和使用等過程中信息丟失或被修改的可能性是很大的,必須要以嚴謹、科學合理的管理制度杜絕破壞電子檔案信息安全的人為因素,維護電子檔案的原始性和真實性。
(1)制作電子檔案要有明確的責任和分工。檔案制作者要對所負責的模塊負全責,劃清各個參與者的責任范圍,與檔案制作不相關的人員未經(jīng)許可不可隨意進入到他人的工作范圍中去,若一定要查看文件可采取只讀形式,避免因有意改動而帶來的麻煩。
(2)當電子檔案初步形成后,要及時積累,防止信息發(fā)生變動,并且在積累的過程中若有其它的變動必須要有詳細的記錄和說明,對追后形成的電子檔案也要有備份。例如,變更CAD方面的電子檔案必須要有相關的批準手續(xù),變更后要及時記錄和備案;對于某些公文性電子檔案在文件達成一致,最終確定后就不可進行變動。
(3)建立科學、合理、完善的歸檔制度。1)歸檔前對電子檔案的全面檢查,看其內(nèi)容是否完整;2)查看批注的說明、目錄等是否歸檔;3)電子檔案與其紙質(zhì)文件的內(nèi)容和說明是否一致;4)最后檢查歸檔的電子檔案讀取信息的準確性以及載體的安全性。
(4)建立嚴格的保管制度。電子檔案歸檔后要以只讀形式存在,對不同性質(zhì)的檔案設置權(quán)限管理,防止不相關人員的非法訪問。此外,因工作需要對電子檔案進行格式轉(zhuǎn)換時,務必要確保信息的真實有效性,并進行定期檢查,維護檔案信息的安全性。在電子檔案使用的過程中,歸檔后的載體不可外借,只能提供拷貝文件,以防原始文件的破壞。
(5)完善電子檔案的記錄系統(tǒng)。建立任何一份電子檔案都要有相應的記錄,隨時記錄檔案形成、管理和使用的情況,為檔案的真實性提供有效的依據(jù)。應為記錄系統(tǒng)制定跟蹤記錄的功能,進行實時記錄,把電子檔案的信息從一開始建立就自動記錄下來,同時輔助一定的人工記錄,以此證實電子檔案的真實性。
(6)制定明確的電子檔案法律效力。就目前來說,尚未找到制定電子檔案法律效力的有效辦法,但是面對大批量電子檔案的產(chǎn)生,我們還是要做出必要的規(guī)定。通常電子檔案的憑證作用都是由一套管理程序來體現(xiàn)的,例如,澳大利亞規(guī)定:按照國家要求的管理程序形成的電子檔案才有憑證作用。
(7)確保電子檔案的真實性。電子檔案的載體是不固定的,其內(nèi)容的更改也不能留下任何痕跡,因此對電子檔案的保存要有專門的技術(shù)。例如,辦公軟件在對電子檔案進行處理時可采用電子簽名或電子印章的方法,或者設置實時記錄系統(tǒng)對電子檔案的修改、傳送等過程進行記錄,了解檔案信息安全管理的來龍去脈。
2.2 技術(shù)措施
電子檔案的形成、整理、存儲和使用整個過程都是以光盤、磁盤、硬件設備等為載體的,其中一個環(huán)節(jié)出現(xiàn)差錯就會導致電子檔案的不完整性。首先就載體本身而言都是用新型材料制成的,材料質(zhì)量的高低直接影響著檔案信息的傳輸和存儲,所以在選取電子檔案載體材料時要對其理化性能、規(guī)范程度、耐久性等做詳細的研究,使電子檔案載體的使用壽命延長。其次電子檔案的防護設備要有嚴格的要求,防護設備應具有防光、防熱、防水、防電、防磁、防病毒等特性,抵制外界的干擾。再次要加強電子檔案的網(wǎng)絡系統(tǒng),設置終端設備和機讀設備,創(chuàng)造良好的上網(wǎng)環(huán)境。下面就講述了具體技術(shù)措施:
(1)保護電子檔案載體理化性能的技術(shù)措施。電子檔案的保存環(huán)境可設置一個溫濕度的調(diào)節(jié)和控制,一般情況電子檔案的保存溫度為14℃-24℃,溫差不超過5℃,因為過高的溫度會使檔案的材料變脆,容易老化,不利于保存;而濕度一般在40%-60%之間,濕度過高載體材料容易變形。此外載體存放時要遠離輻射和磁場,避免強光直射。
(2)確保原始電子檔案的完整性。保存電子檔案常用的三種方法是:①把與之相關的應用系統(tǒng)和軟件一起保存,存放在同一位置,使其以原來的格式顯示;②為電子檔案制作原始的電子圖像,并保存下來;③保存電子檔案時要留有紙質(zhì)檔案文件,以便永久保存。
(3)電子檔案的內(nèi)容要能被人理解。通常檔案內(nèi)容較抽象,難以全部理解領會,為了使人們對此的理解更深刻、更透徹,在保存檔案時就有必要添加相應的備注和說明,常用的備注信息有:檔案名稱、元數(shù)據(jù)、邏輯結(jié)構(gòu)、存儲位置等。
(4)電子檔案尤其是其載體要進行定期的檢驗、維護或拷貝,使電子檔案的信息真實有效。電子檔案的定期檢測通常為一年一次,對載體樣品進行隨機抽樣檢測或等距抽樣檢測,具體步驟為:①先觀察載體外表,看是否變形或損壞,有無污垢;②用專門的檢測軟件查看載體上的信息是否與原始信息一致;③對錯誤的載體信息要給予及時有效的更正。這方面的管理必須要非常嚴格,對電子檔案的檢測、維護和拷貝等過程要有明確的詳細記錄,避免引起不必要的糾紛。目前該方面的檢測技術(shù)還是相當可觀的,主要有以下幾種技術(shù):
第一,電子檔案簽署技術(shù),主要是為了證實檔案信息的真實性。簽署技術(shù)通常是數(shù)字簽名,有證書式和手寫式兩種,前者的技術(shù)原理是:電子檔案的發(fā)出者在發(fā)文件時對文件進行加密,隨后便會以字母或數(shù)字串的形式同文件一起發(fā)出,接收文件者運用指定的方法進行解碼,最后做驗證簽名;后者是在文字處理軟件中插入特定的軟件模塊,檔案制作者用特制的筆在計算機屏幕或手寫輸入板上進行簽名,最后顯示出來的簽名如同親筆簽名一樣,計算機通過數(shù)字轉(zhuǎn)化后獲取手寫簽名,最終把檔案內(nèi)容等一起打包處理。計算機數(shù)字轉(zhuǎn)換器來捕獲手寫簽名,同時對電子檔案的內(nèi)容、結(jié)構(gòu)等進行打包處理。
第二,電子檔案的加密技術(shù),使檔案內(nèi)容不被公開。電子檔案在傳輸?shù)倪^程中會用雙密鑰碼對文件加密,一個是公開的加密密鑰,一個是保密的解密密鑰,這樣收發(fā)方就會用各自的密鑰進行文件傳輸。由于加密同解密的密鑰不一樣,除收發(fā)方之外的第三方就不會解密截獲的文件,對電子檔案的傳輸起到了很好地保護作用。
第三,采用身份驗證技術(shù),可防止無關人員的非法訪問。如,使用銀行系統(tǒng)時會有用戶名和密碼的驗證,要進入管理系統(tǒng)需要驗證管理員代碼等。身份驗證慣用的方法是為用戶設置一個字符串,也即就是通行字,以此代表不同用戶的身份,當用戶需要訪問系統(tǒng)時需要輸入通行字,然后由計算機通過存儲記憶驗證資料,只有合法的用戶才能進入系統(tǒng)進行相關的訪問,否則會被拒之門外。
第四,設置電子檔案的防火墻。防火墻就相當于是一道關卡,能夠控制兩個方向信息的進出。電子檔案中利用防火墻控制技術(shù),可以防止外界未經(jīng)允許的用戶或機構(gòu)非法訪問本站信息資源,確保一些專利信息的安全性。防火墻本身的安全保障能力是有限的,只能在網(wǎng)絡邊界進行,通過網(wǎng)絡通信系統(tǒng)的監(jiān)控,符合安全規(guī)定的就可以進入,不符合的就不能通過。
第五,增加防寫技術(shù)措施。電子檔案的文件信息可設置為只讀狀態(tài),這樣就能保證從計算機上獲得的信息只能被讀取,不可修改。需要注意的是只讀光盤中的信息只能讀出,不能被擦除或再追加;而對于一次寫入時光盤,其中的信息可以追加,但是追加后不能刪除原有的信息。這種防寫技術(shù)大大避免了檔案內(nèi)容被更改的可能性,增強了電子檔案的真實性和原始性。
由此看來,這些技術(shù)措施足以確保電子檔案信息存儲和傳輸?shù)陌踩院捅C苄裕乐沽穗娮訖n案被隨意改動和非法訪問。當這些技術(shù)得到廣泛普及,并被再次更新后,電子檔案信息就會被管理的更加安全。但是,電子檔案的維護和存儲工作是很復雜的,需要綜合考慮各方面的因素和條件,最終才能確定可靠的技術(shù)方案和安全管理模式,使電子檔案處于安全可靠、真實有效的狀態(tài),最終使這些技術(shù)措施得到充分的發(fā)揮。目前,檔案工作者已經(jīng)對電子檔案信息的安全管理問題引起了高度的重視,并加強了各方面的研究和探討,在不久的將來將會有更完美的電子檔案管理技術(shù)措施出臺。
參考文獻:
[1]黃昌瑛.電子檔案信息安全保障策略研究[D].福建師范大學,2007.
[2]申雪倩.電子檔案網(wǎng)絡化應用研究[J].信息與電腦(理論版),2011(08).
[3]于雅萍.關于電子檔案保存與維護的策略研究[J].華章.2011(09).
[4]何麗華.淺談電子檔案的管理[J].內(nèi)蒙古農(nóng)業(yè)大學學報(社會科學版),2007(03).
[5]金俊蘭.構(gòu)建檔案信息化安全體系[J].湖北師范學院學報(哲學社會科學版),2011(02).
第9篇:信息安全管理范文
保證業(yè)務系統(tǒng)正常運行是信息安全的重要因素。部署桌面安全管理系統(tǒng),實現(xiàn)電源管理、補丁管理、外設控制、資產(chǎn)管理、軟件分發(fā)和遠程支持等服務功能,達到對終端工作站的行為監(jiān)控、審計和管理,解決存在安全隱患,提升信息安全管理水平和工作效率。
【關鍵詞】
桌面管理;移動儲存;軟件分發(fā);遠程控制
隨著計算機技術(shù)的飛速發(fā)展,醫(yī)院網(wǎng)絡日趨復雜,信息系統(tǒng)多樣化,網(wǎng)絡信息安全面臨諸多問題,如何保障主機安全、應用軟件安全、物理環(huán)境安全、終端安全成為醫(yī)院信息化建設的重中之重[1]。但是,由于醫(yī)院客戶端設備數(shù)量的不斷增加、信息系統(tǒng)的深入應用,使得客戶端安全管理面臨著更大的挑戰(zhàn)。如何最大程度地保障終端設備地正常運行,降低故障發(fā)生率,縮短故障處理時間,提升信息安全水平,成為醫(yī)院信息管理部門所面臨的重要挑戰(zhàn)。
1、桌面管理中存在安全隱患
客戶端任意接入,沒有統(tǒng)一的安全策略控制,對醫(yī)院資產(chǎn)信息采集的統(tǒng)計不全面,遠程監(jiān)控手段不足,用戶行為得不到有效的控制等等,存在引發(fā)信息安全事件的風險[2]。終端能否正常工作,便成了醫(yī)院業(yè)務能否正常開展的關鍵因素[3]。同時,終端維護成本高等問題也制約和影響著醫(yī)院信息化的健康持續(xù)發(fā)展。
1.1移動存儲介質(zhì)管理混亂
由于移動存儲介質(zhì)得到廣泛應用,如果不能有效管理移動存儲介質(zhì),可能帶來以下安全隱患:(1)容易感染木馬等病毒,可能導致醫(yī)院內(nèi)部工作站操作系統(tǒng)崩潰無法正常使用、破壞數(shù)據(jù)、電腦很慢、堵塞網(wǎng)絡等;(2)內(nèi)部數(shù)據(jù)資料被盜,特別是患者隱私信息泄露,存在泄密隱患等等。
1.2資源浪費
下班后,大多數(shù)電腦沒有及時關閉電源,造成大量的能耗支出。
1.3漏洞補丁無法及時修復
由于沒有統(tǒng)一的控制管理平臺,手工安裝修復效率低下,而且管理員無法知曉具體的修復情況,導致系統(tǒng)漏洞可能得不到及時修復。同時,缺少對補丁修復的測試,有可能導致系統(tǒng)補丁升級組件后,導致業(yè)務系統(tǒng)無法正常使用的風險;
1.4資產(chǎn)設備管理混亂
由于資產(chǎn)設備位置分散,需要定期或不定期對客戶端的軟硬件資產(chǎn)進行統(tǒng)計,管理人員到現(xiàn)場逐臺進行手工統(tǒng)計,費時費力,統(tǒng)計不全等問題,極易出現(xiàn)資產(chǎn)丟失風險。
1.5工作效率低下
客戶端設備地理位置分散,主要采用人工管理的方式,經(jīng)常是簡單的故障,也需求IT維護人員及時到現(xiàn)場進行操作,費時費力,效率低下。如果使用Windows自帶的遠程桌面功能,由于其遠程連接到終端上時,會注銷終端當前用戶并鎖屏,導致交互性差,終端用戶無法直觀看到管理員操作。
2、桌面安全管理系統(tǒng)功能簡介
2.1電源管理
電源管理功能是指能夠建立統(tǒng)一的終端電源管理策略,可根據(jù)不同的時間段,設定空閑時關閉監(jiān)視器、待機、休眠或者關機。
2.2補丁管理
補丁管理不僅僅針對操作系統(tǒng)的補丁,還可以輔助管理包括常用的第三方應用程序的補丁。該功能為了在掃描時不影響工作,能夠設定掃描的時間及調(diào)整安全掃描時占用的CPU比率。
2.3外設控制
對USB移動存儲設備進行權(quán)限的控制,分區(qū)域設置只讀或不能讀寫;對允許使用的U盤,能夠及時記錄用戶拷貝的文件,記錄文件名稱、大小、拷貝時間等,便于管理員審計。
2.4資產(chǎn)管理
自動收集終端的軟硬件資產(chǎn),并且能夠?qū)С龈鞣N資產(chǎn)報表,記錄軟硬件的變更情況。使用人、部門等邏輯信息也能夠收集和物理信息統(tǒng)一展現(xiàn)。
2.5軟件分發(fā)
通過遠程方式同時對多臺計算機進行分發(fā)軟件,支持分發(fā)如EXE、MSI各類可執(zhí)行程序或者Windows腳本。對于需要用戶參與的軟件包,能夠打包成靜默方式安裝包,簡化工作量。
2.6遠程支持
在控制臺遠程維護終端,提供集成的桌面支持工具,包括遠程控制、遠程對話、遠程文件傳輸、遠程執(zhí)行、遠程重啟、遠程關機、遠程桌面畫圖等等,幫助管理員遠程解決問題。
3、桌面安全管理系統(tǒng)在醫(yī)院信息安全方面應用
3.1有效管理資產(chǎn)
使用資產(chǎn)管理功能,可以有效地管理所有類型的資產(chǎn),包括固定資產(chǎn)、合同和財務資產(chǎn)等。資產(chǎn)掃描功能可以將客戶端中所有的軟硬件信息及時的存儲在核心數(shù)據(jù)庫中,以網(wǎng)絡視圖的形式可以清楚地分類管理終端,使管理人員能夠清晰地了解當前所有計算機的資產(chǎn)信息,可以方便統(tǒng)計出醫(yī)院已管理的計算機數(shù)量、配置、分布位置等等,彌補固定資產(chǎn)報表的不足,制訂軟硬件升級計劃,充分提高現(xiàn)有設備的利用率提供極為有效的基礎信息。因此,通過桌面安全管理系統(tǒng)的應用,可以很好解決以下問題:各科室部門的電腦配置情況、是否滿足應用系統(tǒng)升級需求等等。
3.2高效分發(fā)軟件
醫(yī)院的信息系統(tǒng)繁多經(jīng)常需要升級或安裝軟件,以往就需要信息管理人員到現(xiàn)場逐個安裝。但是,利用系統(tǒng)的軟件功能,通過桌管自帶軟件將配置好的軟件包統(tǒng)一通過桌管的軟件分發(fā)功能分發(fā)到所有需要安裝的客戶端中,并靜默安裝方式完成,這種有策略的同一遠程分發(fā),簡單而高效,而且能夠?qū)嵤┍O(jiān)控軟件的安裝狀態(tài),確保普及率與成功率。同時,能做到當用戶在工作崗位調(diào)動后相關軟件的自動刪除或自動安裝。
3.3便捷遠程管理
以往客戶端故障問題,都需要技術(shù)人員到現(xiàn)場處理,不管問題是簡單還是復雜,由于醫(yī)院終端工作站分布分散,因此維護麻煩且效率不高。利用桌面安全管理系統(tǒng)的遠程管理功能,可以很好解決這個問題。在網(wǎng)絡沒有故障的情況下,中心控制臺可以對所有終端工作站進行遠程支持服務,對客戶端進行異地操作與硬件檢查,技術(shù)人員不再需要親臨現(xiàn)場就可以輕松處理,這樣既可以極大地提升對故障的響應速度,也方便技術(shù)人員進行更快的遠程故障查找并及時解決問題。
3.4提升安全管理
USB接口是醫(yī)院網(wǎng)絡的安全隱患。使用桌面安全管理系統(tǒng)的連接管理功能,可以把移動存儲設置為只讀或加密存儲,以防止重要的數(shù)據(jù)泄漏,同時允許使用USB端口的鼠標、鍵盤、打印機、掃描儀、特殊醫(yī)療設備等,可以禁止使用移動存儲設備,甚至一些設備ID的USB打開讀或?qū)憴?quán)限,有效地提高了物理端口的使用,目的是禁止使用外接設備來確保信息安全。安全管理功能可能進行補丁管理,漏洞評估和補丁管理自動化,有效管理信息,以幫助信息管理人員維護應用程序和操作系統(tǒng)的安全性,穩(wěn)定性和運行性能。通過統(tǒng)一的管理控制平臺進行常規(guī)客戶端漏洞掃描,及時獲得客戶端安全補丁修復信息,自動識別,評估和下載補丁相關漏洞,快速分發(fā)計劃為單個客戶端或批量客戶端安裝補丁,并且可以輕松報告修復工作,包括哪些計算機需要特定補丁,已安裝在計算機補丁上,需要手動修復計算機,及時采取有效措施確保設備的安全。
3.5更好節(jié)能環(huán)保
桌面安全管理系統(tǒng)提供了行之有效的電源管理功能,讓客戶有在保持生產(chǎn)力與消耗能源之間保持完美的平衡。利用電源管理功能,根據(jù)需求制定特定電源的配置策略,通過優(yōu)化的電源策略集中管理電力消耗,在不影響最終用戶或執(zhí)行補丁和系統(tǒng)升級的情況下,使電腦和其他設備進入睡眠模式,最大限度減少不必要的電力消耗,從而過降低能耗。
4總結(jié)
桌面安全管理系統(tǒng)簡化了醫(yī)院信息管理人員維護的復雜性,使管理人員從大量重復性工作中解放出來,更專注于核心業(yè)務。通過應用桌面安全管理系統(tǒng),信息安全管理已有明顯的提升,信息安全管理系統(tǒng)的實施,為技術(shù)支持提供了有效的保護,也改變了維護管理服務模式,加強了管理主動發(fā)現(xiàn)和遠程維護能力,降低維護和管理成本,提高工作效率和質(zhì)量。
作者:陳禮團 單位:福建省立醫(yī)院信息管理中心
參考文獻:
[1]王健肅.桌面終端安全管理的應用和探索[J].金融電子化,2009,17(6):77-78.
